В первом случае Microsoft сообщила о более чем 3 000 общедоступных machine keys, потенциально уязвимых для атак методом «ViewState code injection». Этот факт привлёк особое внимание после обнаружения, что в декабре 2024 года неизвестный злоумышленник использовал один из публичных статических ключей для внедрения вредоносного кода и загрузки инструментария «Godzilla post-exploitation framework» на сервер.
Дальнейший анализ показал, что разработчики порой копируют machine keys из открытых источников и inadvertently включают их в код, размещённый в общедоступных репозиториях. Microsoft подчёркивает, что новая волна атак может оказаться масштабнее предыдущих случаев, когда компрометированные ключи продавались на теневых рынках: «Теперь они доступны в различных кодовых репозиториях и могли попасть в рабочие проекты без изменений».
Механизм «ViewState» важен для сохранения данных между загрузками страниц в , поскольку он размещает данные в скрытом поле и защищает их базовым хешем (MAC), вычисленным на базе machine key. Если ключ становится известен злоумышленнику, то можно создать вредоносное содержимое ViewState, которое сервер примет за корректное и выполнит. В результате обеспечивается удалённый запуск кода на целевом IIS-сервере.
Атаки в первую очередь нацелены на те системы, где machine key переиспользуется и не меняется. Microsoft призывает сравнить текущие ключи с опубликованным списком хешей, а при обнаружении совпадений не ограничиваться сменой ключей. Если неизвестные лица уже успели закрепиться в системе, требуются дополнительные меры по очистке и проверке целостности среды.
Параллельно с этим крупная облачная компания Aqua раскрыла детали обхода в OPA Gatekeeper, позволяющего проводить несанкционированные действия в Kubernetes. Исследователи Якир Кадкода и Ассаф Мораг упомянули, что уязвимость кроется в конфигурации ConstraintTemplate, в частности в политике «k8sallowedrepos». При несоответствии параметров YAML-файла и логики Rego возникает обход, и ограничения перестают работать должным образом. По данным Aqua, с этими находками ознакомились журналисты The Hacker News.
Microsoft в рамках дальнейших мер очистила некоторые «ограниченные экземпляры» своих собственных документов, где фигурировали такие ключи. Эксперты рекомендуют никогда не копировать machine keys из публичных ресурсов, регулярно менять ключи, а в случае уже произошедшей атаки проводить полное расследование. Владельцам OPA Gatekeeper также советуют сверять шаблоны ConstraintTemplate и проверять правильность пользовательских значений в YAML-файлах, чтобы избежать непредвиденных обходов политик.
Изображение носит иллюстративный характер
Дальнейший анализ показал, что разработчики порой копируют machine keys из открытых источников и inadvertently включают их в код, размещённый в общедоступных репозиториях. Microsoft подчёркивает, что новая волна атак может оказаться масштабнее предыдущих случаев, когда компрометированные ключи продавались на теневых рынках: «Теперь они доступны в различных кодовых репозиториях и могли попасть в рабочие проекты без изменений».
Механизм «ViewState» важен для сохранения данных между загрузками страниц в , поскольку он размещает данные в скрытом поле и защищает их базовым хешем (MAC), вычисленным на базе machine key. Если ключ становится известен злоумышленнику, то можно создать вредоносное содержимое ViewState, которое сервер примет за корректное и выполнит. В результате обеспечивается удалённый запуск кода на целевом IIS-сервере.
Атаки в первую очередь нацелены на те системы, где machine key переиспользуется и не меняется. Microsoft призывает сравнить текущие ключи с опубликованным списком хешей, а при обнаружении совпадений не ограничиваться сменой ключей. Если неизвестные лица уже успели закрепиться в системе, требуются дополнительные меры по очистке и проверке целостности среды.
Параллельно с этим крупная облачная компания Aqua раскрыла детали обхода в OPA Gatekeeper, позволяющего проводить несанкционированные действия в Kubernetes. Исследователи Якир Кадкода и Ассаф Мораг упомянули, что уязвимость кроется в конфигурации ConstraintTemplate, в частности в политике «k8sallowedrepos». При несоответствии параметров YAML-файла и логики Rego возникает обход, и ограничения перестают работать должным образом. По данным Aqua, с этими находками ознакомились журналисты The Hacker News.
Microsoft в рамках дальнейших мер очистила некоторые «ограниченные экземпляры» своих собственных документов, где фигурировали такие ключи. Эксперты рекомендуют никогда не копировать machine keys из публичных ресурсов, регулярно менять ключи, а в случае уже произошедшей атаки проводить полное расследование. Владельцам OPA Gatekeeper также советуют сверять шаблоны ConstraintTemplate и проверять правильность пользовательских значений в YAML-файлах, чтобы избежать непредвиденных обходов политик.
